Une nouvelle version basée sur Rust de la souche de ransomware Qilin (Agenda), baptisée ‘ Qilin.B, ‘ a été repéré dans des attaques, avec un cryptage plus fort, une meilleure évasion des outils de sécurité et la capacité de perturber les mécanismes de récupération de données.
Qiline.B a été repéré par des chercheurs en sécurité de Halcyon, qui ont mis en garde contre la menace et partagé des indicateurs de compromission pour faciliter la détection précoce.
Qilin met à jour son chiffreur
En commençant par le nouveau schéma de cryptage, Qilin.B utilisateurs AES-256-CTR avec des capacités AESNI pour les processeurs qui le prennent en charge, accélérant le cryptage.
Cependant, la nouvelle souche conserve ChaCha20 pour les systèmes plus faibles ou plus anciens qui ne disposent pas du matériel approprié pour AESNI, garantissant un cryptage robuste dans tous les cas.
Qiline.B intègre également RSA-4096 avec remplissage OAEP pour la protection des clés de chiffrement, ce qui rend le déchiffrement presque impossible sans la clé privée ou les valeurs de départ capturées.
Lors de l’exécution, le nouveau malware Qilin ajoute une clé d’exécution automatique dans le Registre Windows pour la persistance et met fin aux processus suivants pour libérer des données critiques pour le cryptage et désactiver les outils de sécurité.
- Veeam (sauvegarde et restauration)
- Service de cliché instantané de volume Windows (sauvegarde et récupération du système)
- Services de base de données SQL (gestion des données d’entreprise)
- Sophos (logiciel de sécurité et antivirus)
- Acronis Agent (service de sauvegarde et de restauration)
- SAP (planification des ressources d’entreprise)
Les clichés instantanés de volume existants sont effacés pour empêcher une restauration facile du système, et les journaux d’événements Windows sont effacés pour entraver l’analyse médico-légale. Le binaire ransomware est également supprimé une fois le processus de cryptage terminé.
Qiline.B cible à la fois les répertoires locaux et les dossiers réseau et génère des notes de rançon pour chaque répertoire traité, y compris l’ID de la victime dans le titre.
Pour une portée maximale, il a modifié le Registre avec une entrée distincte pour permettre le partage des lecteurs réseau entre les processus élevés et non élevés.
Bien que les fonctionnalités ci-dessus ne soient pas révolutionnaires dans l’espace des ransomwares, elles peuvent avoir un impact grave et de grande portée lorsqu’elles sont ajoutées à une famille utilisée par des groupes de menaces notoires dans des attaques très efficaces.
En août dernier, Sophos a révélé que Qilin déployait un voleur d’informations personnalisé dans les attaques pour collecter les informations d’identification stockées dans le navigateur Google Chrome et étendre leurs attaques à des réseaux entiers ou se réintroduire sur les réseaux piratés même après les nettoyages.
Auparavant, Qilin a été utilisé dans des attaques très dommageables contre les principaux hôpitaux de Londres, les Services judiciaires de Victoria en Australie et le géant de l’automobile Yanfeng.
Le groupe utilise également une variante Linux axée sur les attaques VMware ESXi, mais la variante repérée par Halcyon concerne les systèmes Windows.